Certes, nous vous avons déjà parlé en long en large et en travers du RGPD et compté moultes actualités découlant de son application, vous savez désormais que c’est un règlement qui vous veut du bien. Marc Rees vous en a fourni l’explication article par article, mais nous allons prendre aujourd’hui la posture d’un développeur (professionnel) qui peut encore se demander ce qu’il est tenu de faire pour respecter la règlementation.
Oui, cela parait évident à tous, mais tout le monde est tenu de respecter la loi : le RGPD est un règlement européen, ce qui implique qu’il est devenu applicable dans toute l’Union Européenne dès sa parution, sans avoir besoin d’être transposé dans les droits nationaux (à l’inverse d’une directive).
Point numéro un : on n’a pas le choix
Le fantôme de Marc Rees, qui hante encore la rédaction, me souffle que, pour être précis, un règlement s’applique dès sa parution sauf si, comme c’est le cas ici, il y a une date de début d’application différée, afin généralement de permettre à tout le monde de s’y adapter.
Publié en avril 2016, il était prévu par son article 99 une entrée en vigueur le 25 mai 2018, ce qui fut le cas. Et force est de constater que quasiment aucune entreprise n’était conforme à la règlementation à cette date, pour une raison simple : cette règlementation est à la fois conséquente avec 90 pages (en français) et 99 articles, mais surtout, elle est structurante, complexe et très contraignante pour les responsables de systèmes de traitements automatisés de données, puisque de très nombreuses données traitées par les entreprises (commerciales ou pas) sont à caractère personnel.
Petite vengeance sur nos amis Américains : à l’instar de bon nombre de leurs lois liées à la sécurité, le RGPD est également une loi extraterritoriale, qui s’applique partout en Europe (d’office) mais aussi partout où l’on traite de données personnelles d’une personne européenne : les MAGMA (Meta, Apple, Google, Microsoft, Amazon) y sont également tenus (et même TikTok). NDLA : si on utilise le nom de la maison mère de Google, Alphabet, je n’ai pas trouvé mieux que MAAMA ou AMAMA. Avis aux lecteurs imaginatifs…
Pour enfoncer le clou, l’article 32 indique que « […] le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] ». Donc le responsable d’un traitement doit mettre en œuvre les mesures nécessaires.